資訊安全
一、資訊安全風險管理架構:
- 公司設有「資訊安全指導委員會」負責推動、協調及督導各功能小組資訊安全運行,至少每年一次向董事會報告資安治理情況,並取得國際資訊安全驗證,以降低資訊安全風險,保障客戶隱私。
二、資訊安全政策:
- 目的:為了強化資安管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之業務持續運作之資訊環境,並符合相關政府法規與內外部利害相關者之要求,使其避免遭受內、外部的蓄意或意外之任何威脅,達到資訊安全。
- 目標:
- 確保本公司資訊作業可正確、完整、可用的持續營運。
- 確保本公司重要資訊之機密性,落實資料存取控制,資訊須經授權人員核可方能存取,不得逾越。
- 符合法令與法規要求。
三、具體管理方案:
為提升資訊安全管理的強度,公司已於2025年完成重新審查與擴大驗證暨轉版ISO 27001:2022「資訊安全管理系統國際標準」驗證,證書效期為2025/08/11~2028/08/10,將相關標準衍生出的資訊安全作業模式與準則化成日常資訊作業的遵守原則落實執行,使資訊安全防護臻於完善,具體管理方案如下:
- 新進同仁須參與資訊安全教育訓練以提昇資訊安全防護之認知觀念,公司定期執行資訊安全宣導作業。
- 建立安全、可靠的資訊系統環境,使本公司業務得以永續經營。
- 重要資訊系統或設備應建置適當之備援或監控機制並定期演練,維持其可用性。
- 同仁之個人電腦應安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權軟體。
- 同仁個人持有之帳號、密碼與權限應善盡保管與使用責任並定期換置。
- 設計適當之資訊安全事件的回應及通報程序,以能適當對資訊安全事件做立即反應,避免傷害擴大。
- 公司已每年定期進行資訊安全風險評估及資訊安全稽核作業,確保管理有效性並符合法令規範,故資安風險非屬公司重大營運風險,暫無投保資安險之需求。
